Die amerikanischen Behörden NSA und FBI warnen vor einer neuartigen russischen Malware. Drovorub ist speziell auf Linux Systeme ausgerichtet und ausgesprochen raffiniert.
Das FBI und die NSA haben ein gemeinsames Fact Sheet zur Drovorub Malware veröffentlich. Die zusammen erstellte Sicherheitswarnung enthält technische Details zu dem gefährlichen neuen Malwarestrang. Die Behörden gehen davon aus, dass die russischen Staatshacker vorhaben, damit deutlich wichtigere Ziele in den USA anzugreifen. Mit der detaillierten Sicherheitswarnung sollen alle amerikanischen IT-Administratoren auf die Gefahr aufmerksam gemacht werden und wichtige technische Hinweise erhalten. In dem PDF werden Anleitungen zum Ausführen von Volatilitäten, zum Sondieren des Verhaltens beim Suchen von versteckten Dateien und zu Snort- und Yara-Regeln zur Verfügung gestellt.
Laut den Details, die die beiden Behörden gesammelt haben, ist die Malware eine Kreation von APT28. APT28 ist auch bekannt als Fancy Bear oder Sednit. Die Gruppe, die aus hochfähigen Hackern besteht, operiert aus der militärischen Einheit 26165 des russischen Generalstabs der Geheimdienstdirektion des 85. Haupt-Sonderdienstzentrums heraus. Drovorub konnte mit APT28 in Verbindung gebracht werden, nachdem die russischen Hacker Server in verschiedenen Operationen wiederverwendet hatten. Drovorub wurde dabei beobachtet, wie es sich mit einem C&C-Server verband, der im Frühjahr 2019 für APT28-Operationen gegen IoT-Geräte verwendet wurde. Diese IP-Adresse war zuvor von Microsoft dokumentiert worden.
Was die Drovorub Malware kann
Drovorub ist ein System mit mehreren Komponenten. Es ist mit einem Kernel-Modul-Rootkit, einem Dateiübertragungs-Tool, einem Port-Weiterleitungsmodul und einem Command-and-Control-Server ausgestattet. Drovorubs Ziel ist es, eine Backdoor in infiltrierte Netzwerke einzubauen. Es hat raffinierte Fähigkeiten, die es den Hacker ermöglichen, viele verschiedene Funktionen auszuführen. Außerdem ist Drovorub in der Lage, sich durch den Einsatz fortschrittlicher Rootkit-Technologien ausgezeichnet zu tarnen. Dies erlaubt den Hacker, ihre Malware heimlich in die Netzwerke ihrer Ziele einzuschleusen und bereit zuschalten.
Das Bösartigste an der Drovorub Malware ist jedoch sein Kernel-Modul. Das Kernel ist das Herzstück eines Betriebssystems. Drovorubs bösartiges Modul setzt sich dort fest und kann dann Systemaufrufe abfangen und herausfiltern. So können weder Anwender, Admins oder Antiviren-Tools die bösartigen Aktivitäten, die im Hintergrund ablaufen, nicht beobachten.
Wie Linux-Anwender sich gegen Drovorub wehren können
Obwohl der einfache Linux-Anwender sicher nicht das Ziel der russischen Staatshacker sein wird, ist dennoch Vorsicht geboten. Um Schäden durch Angriffe zu verhindern, wird empfohlen, Linux-Systeme auf eine Version mit Kernel-Version 3.7 oder höher zu aktualisieren. Diese enthalten eine Sicherheitsfunktion, die die Durchsetzung von Kernel-Signaturen voll auszuschöpfen würde. Sie würden die APT28-Hacker daran hindern, ihr Drovorub Rootkit zu installieren.
Um überhaupt den Ansatz einer Chance haben, Drovorub auf Rechnern zu entdecken, empfehlen die US-Behörden, nicht vertrauenswürdige oder unerwartete Kernel-Module zu blockieren. Außerdem sollten alle Linux-Installationen mit erzwungener Kernel-Signierung stets auf dem neuesten Stand gehalten werden. Das ist der Grund, weshalb die Behörden in ihrer Warnung dringend raten, Kernel-Version 3.7 oder höher zu verwenden.
Allerdings ist es damit nicht getan, sagen die Experten. Denn ATP28 verwendet Spear-Phishing Techniken und Zero-Day-Schwachstellen, um ihre Drovorub Malware einzuschleusen. Daher ergänzen die beiden Behörden ihre Sicherheitswarnung mit Maßnahmen für den Fall, dass Drovorub sich bereits in ein Linux-System festgesetzt hat. Wer vermutet, ein lohnendes Ziel der russischen Staatshacker zu sein, muss selbst herausfinden, wie er diese Art von Angriffen abwehren oder minimieren könnte.
Artikel von zdnet.com, 13.08.2020: FBI and NSA expose new Linux malware Drovorub, used by Russian state hackers
Artikel von theregister.com, 13.08.2020: This NSA, FBI security advisory has four words you never want to see together: Fancy Bear Linux rootkit
NSA Factsheet: Drovorub Malware Fact Sheet& FAQs
Beitragsbild: Public Domain, Creative Commons CC0, Photo Collections auf pexels.com